Sophos ha pubblicato la nuova analisi Active Adversary dal titolo “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”. Il report mette in luce come i cybercriminali abbiano sfruttato a proprio vantaggio il protocollo RDP (remote desktop protocol), un metodo comune per stabilire l’accesso a sistemi Windows remoti. Nello specifico, l’analisi rivela che il protocollo RDP è stato sfruttato nel 90% degli attacchi analizzati, rappresentando la più alta incidenza di abusi registrata fino ad oggi da Sophos.
Il report evidenzia inoltre che i servizi remoti esterni, come l’RDP, sono stati il vettore più comune attraverso il quale gli autori degli attacchi sono riusciti a violare le reti, rappresentando la via di accesso iniziale nel 65% dei casi IR del 2023. In particolare, le porte RDP esposte sono state identificate come il principale punto di ingresso nelle reti aziendali attaccate.
Secondo John Shier, field CTO di Sophos, “I servizi remoti esterni sono per molte aziende un requisito necessario ma rischioso. I cybercriminali conoscono bene i pericoli che questi servizi comportano e cercano attivamente di sfruttarli per riscuotere il premio che essi promettono. Tenere esposti dei servizi senza adeguate cautele e tecniche di mitigazione dei relativi rischi porta inevitabilmente a violazioni informatiche. Non serve molto tempo perché un attaccante riesca a trovare e violare un server RDP esposto e, senza controlli supplementari, nemmeno il server Active Directory che lo aspetta dall’altra parte”.
Un altro dato rilevante è che le credenziali compromesse e lo sfruttamento delle vulnerabilità sono ancora le due cause primarie di attacco più comuni. Tuttavia, il report 2023 Active Adversary Report for Tech Leaders, pubblicato lo scorso mese di agosto, aveva scoperto che nella prima metà dell’anno le credenziali compromesse avevano superato per la prima volta le vulnerabilità come principale causa primaria di attacco. Questa tendenza è proseguita nel 2023, quando le credenziali compromesse hanno rappresentato la causa primaria di oltre il 50% delle casistiche IR dell’intero anno.
Guardando ai dati cumulativi raccolti dai report Active Adversary dal 2020 al 2023, le credenziali compromesse sono anche la principale causa primaria di attacchi di sempre, riguardando quasi un terzo di tutti i casi IR. Ciononostante, l’autenticazione multifattore ha continuato ad essere assente da parte delle organizzazioni nel 43% delle casistiche IR del 2023.
Lo sfruttamento delle vulnerabilità è stata la seconda causa principale più comune degli attacchi sia nel 2023 che nel periodo cumulato dal 2020 al 2023, responsabile rispettivamente del 16% e 30% delle casistiche IR.
Shier sottolinea l’importanza di proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione per aumentare la sicurezza complessiva e rispondere meglio ai cyberattacchi: “La gestione del rischio è un processo attivo. Di fronte a cybercriminali determinati e alle loro costanti minacce, le aziende che la sanno fare bene si trovano in una situazione migliore rispetto a quelle che non ci riescono. Un importante aspetto della gestione dei rischi di sicurezza, oltre alla loro identificazione e prioritizzazione, riguarda la capacità di agire in base alle informazioni raccolte. Eppure, certi rischi come i servizi RDP aperti continuano da troppo tempo a rendere vulnerabili le aziende per la felicità degli autori degli attacchi che possono entrarci dalla porta principale. Proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione aumenta la sicurezza complessiva e consente di rispondere meglio ai cyberattacchi”.
L’analisi Sophos Active Adversary Report per il primo semestre 2024 è basata su oltre 150 risposte a incidenti (IR) gestite dal team Sophos X-Ops nel 2023, avvenuti in 26 settori di attività a livello mondiale. Le aziende colpite si trovavano in 23 diversi Paesi: Stati Uniti, Canada, Messico, Colombia, Regno Unito, Svezia, Svizzera, Spagna, Germania, Polonia, Italia, Austria, Belgio, Filippine, Singapore, Malesia, India, Australia, Kuwait, Emirati Arabi Uniti, Arabia Saudita, Sudafrica e Botswana.
Per maggiori informazioni, è possibile consultare l’analisi completa It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024.